近日，海外云服務(wù)提供商 Dropbox 昨日向美國(guó)證券交易委員會(huì)（SEC）通報(bào)，旗下電子簽名平臺(tái) Dropbox Sign（原名 HelloSign）遭到黑客入侵，大量用戶的密鑰 / MFA 驗(yàn)證信息遭到泄露。

▲ Dropbox Sign 簽名平臺(tái)

Dropbox 安全部門在 4 月 24 日發(fā)現(xiàn) Dropbox Sign 服務(wù)器出現(xiàn)未經(jīng)授權(quán)的訪問(wèn)活動(dòng)。經(jīng)過(guò)調(diào)查，Dropbox 發(fā)現(xiàn)黑客已經(jīng)侵入服務(wù)器，獲取了大量用戶的郵箱、用戶名、電話號(hào)碼、（經(jīng)過(guò)哈希加密過(guò)的）密碼、API 密鑰、OAuth 令牌、MFA 驗(yàn)證信息等內(nèi)容。

據(jù)悉，本次安全事故影響到所有曾經(jīng)使用過(guò) Dropbox Sign 的用戶（即使用戶沒(méi)有 Dropbox 賬號(hào)），只要用戶使用 Dropbox Sign 簽署過(guò)文件，那么他們的電子郵箱和用戶名就已經(jīng)遭到泄露。

Dropbox 表示，根據(jù)目前調(diào)查結(jié)果，沒(méi)有證據(jù)顯示用戶賬號(hào)下的文件、合同、模板、支付信息等遭到黑客獲取。相關(guān)安全事故波及范圍僅限于 Dropbox Sign 的基礎(chǔ)架構(gòu)，并不影響 Dropbox 其他產(chǎn)品的運(yùn)營(yíng)環(huán)境。不過(guò) Dropbox 并未說(shuō)明究竟多少用戶受到本次安全事故影響，也沒(méi)有披露黑客究竟通過(guò)什么手段侵入了服務(wù)器。

據(jù)了解，這是 Dropbox 近年來(lái)最新一起安全事件。2016 年有媒體曝光該公司曾在 2012 年被黑客攻擊，導(dǎo)致近 7000 萬(wàn)項(xiàng)用戶信息泄露。2022 年 11 月該公司員工被網(wǎng)絡(luò)釣魚(yú)攻擊，讓黑客獲得了公司內(nèi)部 130 個(gè) GitHub 庫(kù)的內(nèi)容。